- 论坛徽章:
- 2
|
为了惠及更加多不熟悉iptables的朋友,我把我的测试也简单的做个备注吧
1、phanx 给的脚本,是加在103上的。
2、102和104上的iptables要关掉或者开放相应的端口。
3、nc包可能要自己安装,我用的版本是 nc-1.84-22.el6.x86_64.rpm
4、我用局域网测试,103上的/etc/sysconfig/iptables内如如下
[root@S103 /]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
# 下面六行是加入的
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.104:5000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 5000 -j SNAT --to-source 90.0.12.103
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.102:5000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j SNAT --to-source 90.0.0.103
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# 下面两行是加入的
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# 下面四行是加入的
-A FORWARD -p tcp -d 90.0.12.102 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
5、我是用局域网IP成功做测试的,不知道因特网的IP如何在模拟器下模拟。 |
|